6.8.2瀑布病毒的诊治 鉴别系统是否有瀑布病毒方法是比较简 单的。 对于静态病毒可检查文件是否有病毒程 序的特征字符。 若要检查内存中是否有病毒,则可编制 一个短小的测试程序,在运行后再检查 该文件长度是否增大了1701字节左右, 并进一步考察该程序是否有病毒的特征 字符
6.8.2瀑布病毒的诊治 鉴别系统是否有瀑布病毒方法是比较简 单的。 对于静态病毒可检查文件是否有病毒程 序的特征字符。 若要检查内存中是否有病毒,则可编制 一个短小的测试程序,在运行后再检查 该文件长度是否增大了1701字节左右, 并进一步考察该程序是否有病毒的特征 字符
在发现系统有病毒后,即可用无毒的系统盘重新 启动系统,去掉内存中的病毒,对刚才使用过的 文件检测静态病毒 如果染毒文件有正常备份文件则可用复制命令覆 盖带毒文件。若无备份则清除起来就比较困难。 这是因为原文件前3字节与病毒程序一起被加密, 因此必须对病毒主体程序和数据区解密,从而得 到原文件的前3字节。注意到引导模块的工作首先 是自我解密并恢复原程序,如果执行这两步后就 把恢复的原程序存盘,就可得到无毒的原文件 可考虑如何编写程序来实现消毒,其中要注意解 密过程第一个断点的设置,否则容易导致死机
在发现系统有病毒后,即可用无毒的系统盘重新 启动系统,去掉内存中的病毒,对刚才使用过的 文件检测静态病毒。 如果染毒文件有正常备份文件则可用复制命令覆 盖带毒文件。若无备份则清除起来就比较困难。 这是因为原文件前 3字节与病毒程序一起被加密, 因此必须对病毒主体程序和数据区解密,从而得 到原文件的前 3字节。注意到引导模块的工作首先 是自我解密并恢复原程序,如果执行这两步后就 把恢复的原程序存盘,就可得到无毒的原文件 可考虑如何编写程序来实现消毒,其中要注意解 密过程第一个断点的设置,否则容易导致死机
6.9“扬基”病毒 “扬基”( Yankee病毒是一种攻击所有可 执行文件的文件型病毒,受传染的文件其 大小增加约3K,并且不会被再次感染 该病毒发作时会使机器奏“ Yankee dodle” 的美国民歌,“扬基”( Yankee)病毒名称 由此而来。 “扬基”病毒程序编制巧妙,采用了反跟 踪技术,抵抗用户的检测
6.9 “扬基”病毒 “扬基”(Yankee)病毒是一种攻击所有可 执行文件的文件型病毒,受传染的文件其 大小增加约3K,并且不会被再次感染 该病毒发作时会使机器奏“Yankee Dodle” 的美国民歌,“扬基”(Yankee)病毒名称 由此而来。 “扬基”病毒程序编制巧妙,采用了反跟 踪技术,抵抗用户的检测
6.9.1“扬基”病毒的工作原理 “扬基”病毒同样包含引导、传染和表现三个模块。 引导模块在运行带毒程序时执行,而中断INT21H 则激活传染模块,表现模块在时钟中断INT1CH调 用时执行。 引导模块执行后,先恢复宿主文件的前32个字节及 其运行环境, 然后判断内存是否已有“扬基”病毒,若有则执行 宿主文件;否则通过修改内存控制将病毒程序引入 内存高端,修改IT21H使之指向病毒传染块,修 改 INT IH用来反跟踪,修改INT1CH使之指向病毒 表现块 然后再执行正常文件
6.9.1“扬基”病毒的工作原理 “扬基”病毒同样包含引导、传染和表现三个模块。 引导模块在运行带毒程序时执行,而中断INT 21H 则激活传染模块,表现模块在时钟中断INT 1CH调 用时执行。 引导模块执行后,先恢复宿主文件的前32个字节及 其运行环境, 然后判断内存是否已有“扬基”病毒,若有则执行 宿主文件;否则通过修改内存控制将病毒程序引入 内存高端,修改INT 21H使之指向病毒传染块,修 改INT 1H用来反跟踪,修改INT 1CH使之指向病毒 表现块 然后再执行正常文件
“扬基”病毒对文件的传染也是通过INT21H中断的4BH 功能调用来实现的。 被病毒程序修改后的INT21H中断服务程序将首先判断请 求中断调用的功能号, 若不是4BH功能调用则执行正常的INT21H中断功能调用 否则判断该文件是否已感染“扬基”病毒, 如果没有感染,就修改系统的INT24H关键性错误处理中 断,并将其屏蔽起来。然后取出该文件的属性和日期保存 起来,如果不是读写属性则修改为读写属性。接着将文件 头0字节起共32字节移到病毒程序的首部数据区中存放, 自第A字节起到第28字节止,并移动读写指针到文件尾部, 将病毒程序附在后面,然后在文件头增加跳转指令使文件 的入口参数指向病毒程序的引导部分,并向盘中写回文件, 恢复原来文件的属性和日期 最后执行原INT21H的4BH功能调用
“扬基”病毒对文件的传染也是通过INT 21H中断的4BH 功能调用来实现的。 被病毒程序修改后的INT 21H中断服务程序将首先判断请 求中断调用的功能号, 若不是4BH功能调用则执行正常的INT 21H中断功能调用 否则判断该文件是否已感染“扬基”病毒, 如果没有感染,就修改系统的INT 24H关键性错误处理中 断,并将其屏蔽起来。然后取出该文件的属性和日期保存 起来,如果不是读写属性则修改为读写属性。接着将文件 头0字节起共32字节移到病毒程序的首部数据区中存放, 自第A字节起到第28字节止,并移动读写指针到文件尾部, 将病毒程序附在后面,然后在文件头增加跳转指令使文件 的入口参数指向病毒程序的引导部分,并向盘中写回文件, 恢复原来文件的属性和日期 最后执行原INT 21H的4BH功能调用